Microsoft Threat and Vulnerability Management 취약성 통합에 대한 데이터 변환
임포트할 데이터를 식별한 후에는 MS TVM(Microsoft Threat and Vulnerability Management) 애플리케이션에서 데이터를 검색하고 ServiceNow® 데이터 소스 세트를 통해 처리한 다음 인스턴스에서 변환합니다.
설치하는 동안 정규화된 심각도 맵이 정규화된 심각도 매핑 모듈에 설치됩니다. 이러한 맵은 임포트한 Microsoft 외부 공급업체 취약성 심각도 수준을 인스턴스에서 처리할 표준 심각도 수준으로 변환합니다. 심각도 맵 생성에 대한 자세한 내용은 다음 문서를 참조하십시오 취약성 대응 심각도 맵 생성.
MS TVM 머신 임포트
임포트한 머신의 데이터는 먼저 MS TVM 머신 임포트 [sn_vul_msft_tvm_machines_import] 테이블에 로드됩니다.
MS TVM 머신 변환은 임포트한 머신 정보를 변환하는 데 사용됩니다.
주:
이 변환 맵에 액세스하려면 다음으로 이동하십시오. 을 클릭하고 Microsoft TVM 머신 변환을 검색합니다.이 변환 맵을 변경하면 MS TVM 머신 임포트의 데이터가 처리되는 방식이 변경됩니다.
다음 표에는 통합별 변환 맵 필드가 나열되어 있습니다.
| 소스 필드 | 대상 필드 | 설명 |
|---|---|---|
| u_id | source_id | 자산의 고유 ID. 이 ID는 검색된 항목 기록의 source_id에 매핑됩니다. |
| u_ipaddresses.mac주소 | mac_address | API에서 cmdb_ci 기록의 호스트 MAC 주소 필드로 매핑되는 MAC 주소입니다. |
| u_ipaddresses.ipAddress | ip_address | cmdb_ci 기록의 IP 주소 필드에 매핑되는 IP 주소 필드입니다. |
| u_lastseen | last_scan_date | 검색된 항목 기록의 last_scan_date 필드에 매핑되는 필드입니다. |
| u_machinetags | sn_sec_cmn_host_tag에 저장된 태그입니다. 태그에서 자산으로의 매핑은 sn_sec_cmn_m2m_src_ci_tag에 저장됩니다. | |
| u_osplatform | os | cmdb_ci 기록의 os 필드에 매핑되는 필드입니다. |
| u_computerdnsname | fqdn | API의 dnsname 필드를 cmdb_ci 기록의 fqdn 필드에 매핑하는 필드입니다. |
변환 프로세스 중에 다음 변환 스크립트가 실행됩니다.
MS TVM 머신 변환 맵 스크립트 타이밍 및 목적
| 스크립트가 실행될 때 | 목적 |
|---|---|
| onStart(임포트 세트가 변환을 시작한 경우) | 통합 프로세스의 범위 변수(sn_vul_msft_tvm)의 값을 초기화하는 데 사용되는 스크립트입니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
| onBefore(임포트 세트가 변환을 완료하기 전) | 호스트의 값을 업데이트하고 호스트가 존재하는지 여부를 확인하는 데 사용되는 스크립트입니다. 결과에 따라 이 스크립트는 범위 변수(sn_vul_msft_tvm)의 값을 수정합니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
| onComplete(임포트 세트가 변환을 완료한 경우) | 생성, 업데이트 및 무시되는 CI 수를 설정하는 데 사용되는 스크립트입니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
MicrosoftTVMMachinesProcessor 스크립트 포함은 onBefore 변환 스크립트에서 호출됩니다. Microsoft TVM 컴퓨터의 통합에서 출력을 가져와 CI로 변환합니다. 이 스크립트 포함을 변경하면 CI 및 검색된 항목 테이블에서 Microsoft TVM 컴퓨터의 데이터 변환이 변경될 수 있습니다.
MS TVM 취약성 통합
임포트된 취약성 데이터는 먼저 Microsoft TVM CVE(취약성) 임포트 [sn_vul_msft_tvm_vulnerabilities_import] 테이블에 로드됩니다.
주:
이 변환 맵에 액세스하려면 다음으로 이동하십시오. 을 클릭하고 Microsoft TVM 취약성 변환을 검색합니다.이 변환 맵을 변경하면 MS TVM 취약성 임포트의 데이터가 처리되는 방식이 변경됩니다.
다음 표에는 통합별 변환 맵 필드가 나열되어 있습니다.
| 소스 필드 | 대상 필드 | 설명 |
|---|---|---|
| u_id | ID | sn_vul_entry 기록의 ID 열에 매핑합니다. |
| u_severity | source_severity | 심각도 필드를 심각도에 매핑합니다. 기본값은 5입니다. |
| u_publishedon | date_published | u_publishedon 필드를 게시된 날짜에 매핑합니다. |
| u_publicexploit | public_exploit | 스캐너에서 제공하는 u_publicexploit 취약성 항목 테이블의 공개 익스플로잇 열에 매핑합니다. |
| u_cvssv3 | v3_base_score | cvssv3 점수를 취약성 항목 기록의 v3 기본 점수에 매핑합니다. |
| u_description | 요약 | 취약성 항목 기록의 요약 필드에 설명을 매핑합니다. |
| u_exploitinkit | malware_kit | 익스플로잇 테이블의 맬웨어 키트에 u_exploitinkit 필드를 매핑합니다. |
| u_exploittypes | 유형 | 익스플로잇 유형을 익스플로잇 테이블의 유형에 매핑합니다. |
| u_exploitverified | is_exploit_verified | 익스플로잇 테이블의 검증된 익스플로잇에 u_exploitverified 필드를 매핑합니다. |
| u_exploituris | exploit_links | 익스플로잇 테이블의 익스플로잇 링크에 u_exploituris 필드를 매핑합니다. |
변환 프로세스 중에 다음 변환 스크립트가 실행됩니다.
| 스크립트가 실행될 때 | 목적 |
|---|---|
| onStart(임포트 세트가 변환을 시작한 경우) | 통합 프로세스의 범위 변수(sn_vul_msft_tvm)의 값을 초기화하는 데 사용되는 스크립트입니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
| onBefore(임포트 세트가 변환을 완료하기 전) | NVD 또는 타사 항목 테이블에서 값을 만들거나 업데이트하는 데 사용되는 스크립트입니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
| onComplete(임포트 세트가 변환을 완료한 경우) | 생성된 새 항목과 업데이트 후 무시된 항목의 값을 설정하는 데 사용되는 스크립트입니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
MS TVM 권장 사항 임포트
임포트한 권장 사항 데이터는 먼저 MS TVM 권장 사항 임포트 [sn_vul_msft_tvm_recom_import] 테이블에 로드됩니다.
주:
이 변환 맵에 액세스하려면 다음으로 이동하십시오. 을 클릭하고 MS TVM 권장 사항 변환을 검색합니다.이 변환 맵을 변경하면 MS TVM 권장 사항 임포트의 데이터가 처리되는 방식이 변경됩니다.
다음 표에는 통합별 변환 맵 필드가 나열되어 있습니다.
| 소스 필드 | 대상 필드 | 설명 |
|---|---|---|
| u_recommendedvendor | recommended_vendor | u_recommendedvendor 필드를 벤더 열에 매핑합니다. |
| u_weaknesses | 약점 | u_weaknesses 필드를 약점 열에 매핑합니다. |
| u_exposedmachinescount | src_exposed_machines_cnt | u_exposedmachinescount 필드를 노출된 컴퓨터 수 열에 매핑합니다. |
| u_status | 상태 | 상태를 권장 사항 기록의 상태 필드에 매핑합니다. |
| u_productname | product_name | u_productname 필드를 권장 사항 기록의 제품 이름에 매핑합니다. |
| u_nonproductiv_impactedassets | non_prod_impacted_assets | u_nonproductiv_impactedassets 필드를 권장 사항 기록의 영향을 받는 자산 열에 매핑합니다. |
| u_activealert | active_alert | u_activealert 필드를 권장 사항 기록의 활성 경보 열에 매핑합니다. |
| u_recommendedversion | recommended_version | u_recommendedversion 필드를 권장 사항 기록의 권장 버전 열에 매핑합니다. |
| u_totalmachinecount | total_machine_count | u_totalmachinecount 필드를 권장 사항 기록의 총 머신 수 열에 매핑합니다. |
| u_exposureimpact | exposure_impact | u_exposureimpact 필드를 권장 사항 기록의 노출 영향 열에 매핑합니다. |
| u_recommendationname | recommendation_name | u_recommendationname 필드를 권장 사항 기록의 권장 사항 이름 열에 매핑합니다. |
| u_subcategory | 하위 범주 | u_subcategory 필드를 권장 사항 기록의 하위 범주 열에 매핑합니다. |
| u_id | source_id | MS TVM의 권장 사항 ID를 소스 ID 열에 매핑합니다. |
| u_remediationtype | remediation_type | u_remediationtype 필드를 권장 사항 기록의 정정 유형 열에 매핑합니다. |
| u_relatedcomponent | related_component | u_relatedcomponent 필드를 권장 사항 기록의 관련 구성요소 열에 매핑합니다. |
| u_recommendedprogram | recommended_program | u_recommendedprogram 필드를 권장 사항 기록의 권장 프로그램 열에 매핑합니다. |
| u_recommendationcategory | recommendation_category | u_recommendationcategory 필드를 권장 사항 기록의 권장 사항 범주 열에 매핑합니다. |
| u_publicexploit | public_exploit | u_publicexploit 필드를 권장 사항 기록의 공개 익스플로잇 열에 매핑합니다. |
| u_vendor | 벤더 | u_vendor 필드를 권장 사항 기록의 벤더 열에 매핑합니다. |
| [스크립트] | integration_instance | 권장 사항을 임포트하는 인스턴스의 이름입니다. |
| [스크립트] | sys_domain | 이 기록을 임포트하는 도메인입니다. |
변환 프로세스 중에 다음 변환 스크립트가 실행됩니다.
| 스크립트가 실행될 때 | 목적 |
|---|---|
| onStart(임포트 세트가 변환을 시작한 경우) | 통합 프로세스의 범위 변수(sn_vul_msft_tvm)의 값을 초기화하는 데 사용되는 스크립트입니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
| onBefore(임포트 세트가 변환을 완료하기 전) | 권장 사항의 값을 업데이트하고 권장 사항이 있는지 확인하는 데 사용되는 스크립트입니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
| onComplete(임포트 세트가 변환을 완료한 경우) | 생성, 업데이트 및 무시된 항목의 값을 설정하는 데 사용되는 스크립트입니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
MS TVM 머신 취약성 임포트
MS TVM 머신 취약성 변환 맵은 MS TVM에서 임포트한 미해결 및 고정 취약성 정보를 변환하는 데 사용됩니다.
주:
MS TVM 미해결 및 수정된 취약성 변환 맵에 접근하려면 다음으로 이동하십시오. 을 클릭하고 MS TVM 머신 취약성 변환을 검색합니다.이 변환 맵을 변경하면 MS TVM 머신 취약성 임포트의 데이터가 처리되는 방식이 변경됩니다.
다음 표에는 통합별 변환 맵 필드가 나열되어 있습니다.
| 소스 필드 | 대상 필드 | 설명 |
|---|---|---|
| u_id | detection_key | u_id 필드를 탐지 테이블의 탐지 키 열에 매핑합니다. |
| u_diskpaths | 증명 | u_diskpaths 필드를 탐지 테이블의 증명 열에 매핑합니다. |
| u_registrypaths | 증명 | u_registrypaths 필드를 탐지 테이블의 증명 열에 매핑합니다. |
| u_recommendedsecurityupdateid | preferred_solution | sn_vul_solution 테이블에 ID가 동일한 솔루션이 있는 경우 취약한 항목 테이블의 기본 솔루션 열에 u_recommendedsecurityupdateid 필드를 매핑합니다. |
| u_recommendationreference | 권장 사항 | u_recommendationreference 필드를 취약한 항목 테이블의 권장 사항 열에 매핑합니다. |
| u_cveid | 취약성 | u_cveid 필드를 취약한 항목 테이블의 취약성 열에 매핑합니다. |
| u_status | source_status | u_status 필드를 탐지 테이블의 소스 상태 열에 매핑합니다. |
| u_eventtimestamp | temporal_score | u_eventtimestamp 필드를 취약한 항목 테이블의 마지막으로 발견된 열에 매핑합니다. |
| u_lastseentimestamp | last_seen | u_lastseentimestamp 필드를 취약한 항목 테이블의 마지막으로 발견됨 열에 매핑합니다. |
| u_firstseentimestamp | first_seen | u_firstseentimestamp 필드를 취약한 항목 테이블의 처음 발견됨 열에 매핑합니다. |
| u_recommendedsecurityupdate | solution_summary | u_recommendedsecurityupdate 필드를 취약한 항목 테이블의 솔루션 요약 열에 매핑합니다. |
| u_recommendedsecurityupdateurl | solution_summary | u_recommendedsecurityupdateurl 필드를 취약한 항목 테이블의 솔루션 요약 열에 매핑합니다. |
변환 프로세스 중에 다음 변환 스크립트가 실행됩니다.
| 스크립트가 실행될 때 | 목적 |
|---|---|
| onStart(임포트 세트가 변환을 시작한 경우) | 통합 프로세스의 범위 변수(sn_vul_msft_tvm)의 값을 초기화하는 데 사용되는 스크립트입니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
| onBefore(임포트 세트가 변환을 완료하기 전) | 취약성 항목 및 탐지가 있는지 확인하는 데 사용되는 스크립트입니다. 그렇지 않은 경우 이러한 기록은 해당 테이블에 생성됩니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
| onComplete(임포트 세트가 변환을 완료한 경우) | MS TVM에서 임포트한 VI 및 탐지 수를 업데이트하는 데 사용되는 스크립트입니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |